Forti 60F 設定詢問

fortigate fortigate 60f

打雜小妹阿江 2024-05-30 10:23:54 ‧ 799 瀏覽

分享至

客戶使用FG60F，有建立SDWAN(只有WAN1)
目前有的要求，他們須要讓中華電信的服務去PING FG的WAN IP
偵測線路是否有斷線

目前作法是在WAN的interface開立ICMP的功能
但是這樣導致WAN一直會PING

想詢問大大這種情況應該可以怎麼建立
(我一開始建立POLICY沒有作用才去開立PING的功能)

看更多先前的討論...收起先前的討論...

李大瑋 iT邦好手 1 級 ‧ 2024-05-30 11:29:57 檢舉

看不太懂題目
你要讓中華電信去PING
又不要WAN一直被PING
那你要不要問問中華電信
看看哪一個IP就開那個IP會不會好一點

mathewkl iT邦高手 1 級 ‧ 2024-05-30 12:57:42 檢舉

真的，需要被PING又不想被PING，你應該內部先決定再來問?

打雜小妹阿江 iT邦新手 5 級 ‧ 2024-05-30 14:26:00 檢舉

中華電信有給2組指定的IP，當初建立POLICY的想法也是指定那2組IP可以PING WAN的IP，但是POLICY開好之後發現沒有任何作用，所以才會變成去interface開PING的服務

mathewkl iT邦高手 1 級 ‧ 2024-05-30 14:51:29 檢舉

要在interface開沒有錯，policy管的是封包進來後的處理。

打雜小妹阿江 iT邦新手 5 級 ‧ 2024-05-30 14:52:48 檢舉

開在interface的話，任何人都可以PING，這樣的結論客戶不能接受><

登入發表討論

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

3 個回答

bluegrass

iT邦高手 1 級 ‧ 2024-05-30 14:12:44

Fortigate admin 位置加入 Trust HOST 即可

記得先加PRIVATE SUBNET作保障自己管理用途

回應
分享
檢舉

登入發表回應

mathewkl

iT邦高手 1 級 ‧ 2024-05-30 15:38:14

https://community.fortinet.com/t5/FortiGate/Technical-Tip-Allow-ping-from-a-specific-IP-for-administrative/ta-p/198040

只能允許特定IP那就需要寫local-in-policy才能處理外到WAN的政策
沒有提供GUI，只能透過CLI指令

回應
分享
檢舉

登入發表回應

mytiny

iT邦超人 1 級 ‧ 2024-05-30 16:05:13

在下看法與各位先進都不同
有人想到local-in-policy也是蠻厲害的

實務上，既然有建立SD-WAN
根本不會需要interface開PING的服務
請好好檢視SD-WAN的SLA
檢測遠端可以是中華也可以是其他地方
只要SLA設的恰當
絕對會知道有沒有斷線

如果不熟SD-WAN
請接洽銷售產品的來源廠商
客戶找SI負責
SI找代理商負責
代理商找原廠負責

回應 2
分享
檢舉

mathewkl iT邦高手 1 級 ‧ 2024-05-30 16:18:22 檢舉

樓主描述客戶只有WAN1做SDWAN，那用FortiGate的健康檢測到斷線時也無法通知任何人XD

mytiny iT邦超人 1 級 ‧ 2024-05-30 16:33:15 檢舉

只有一條線的情況下，ping不通也通知不到誰呀
其實，只有一條線，不通很快就會被發現了

登入發表回應

我要發表回答

立即登入回答

參賽組數

1048 組

團體組數

40 組

累計文章數

14297 篇

最後報名日

9/15

15th鐵人賽 13th鐵人賽 14th鐵人賽 12th鐵人賽 16th鐵人賽 11th鐵人賽鐵人賽 2019鐵人賽 javascript 2018鐵人賽 python 2017鐵人賽 windows php c# windows server linux css react 資訊安全

IT邦幫忙